Asignatura:

Auditoría de sistemas

NRC: 24686

Informe de auditoría.

Presentado por:

Paula Juliana Castro Cervera ID: 635322

María Roxana Imbrecht Vera ID: 630379

Gina Marcela Rodríguez ID: 630384

Karen Daniela Morales Fernández ID: 630343

Docente:

Lina Yineth Yara T.

Ibagué- Tolima 2021

 AUDITORIA DE SISTEMAS- OFICINA PRINCIPAL SOU

Marzo 22 de 2021

1. Objetivo

Inspeccionar, analizar y evaluar el sistema de información de la empresa y los procedimientos

que en la entidad se realizan y que cumplan con los procesos determinados por la normatividad
iso 27001 y las políticas de la junta directiva, con el fin de determinar la eficiencia y eficacia
de los mismos en la marcha operativa y la seguridad de la información.

2. Alcance

Se realizó la identificación de los riesgos en los siguientes activos de información de la entidad:

Facturas de venta, Recibos de caja, Nomina, Cuadres de caja, Facturas de compra, Copias de
seguridad, Cartas, Libros contables, Archivadores AZ, Conciliaciones bancarias, Solicitudes
de crédito, Entradas y salidas de mercancía y Cuentas de cobro.

3. Procedimiento de Auditoría.

Señores SOU, para la realización del presente informe de auditoría de sistemas de la empresa
se realizó la intervención con el consentimiento de la junta directiva y junto con el equipo de
auditores para la realización de la auditoría en los sistemas de información de la compañía se
recopilo y analizo la información a través de los siguientes procedimientos:

3.1 Procedimientos

➔ Se identificó el alcance de la auditoría así como el área a auditar

➔ Se identificaron y categorizaron los activos de la entidad

 ➔ Se identificaron las vulnerabilidades y salvaguardas de dichos activos

➔ Se realizó una valoración de los riesgos que se pueden presentar en el área así como un
catálogo de amenazas de la entidad

➔ Se identificaron los controles existentes que tiene la entidad frente a estos riesgos

➔ Se determinaron los activos de información más representativos de la entidad y de allí

se identificó la probabilidad, impacto y riesgo que puede generar las amenazas

➔ Se realizaron procedimientos aplicables al control de anti fuga.

➔ Se realizaron procedimientos aplicables al control de aplicativos

➔ Se realizaron procedimientos aplicables a la seguridad en los computadores

➔ A través de la información obtenida por medio de los anteriores procedimientos, se

realiza el informe y las respectivas recomendaciones.

3.2 Hallazgos y resultados

Ahora bien, respecto a los resultados que se obtuvieron en la auditoría frente a la auditoría en
los sistemas de información de la entidad contenidos en los equipos de propiedad de la entidad,
los hallazgos y resultados con respecto a sus activos de información fueron los siguientes:

● Se identifica que los colaboradores no tienen la suficiente capacitación frente a los

procesos de los programas existentes en la entidad

● El área donde se encuentra el servidor, no cuenta con restricción y cualquiera puede

acceder a él.
 ● No se lleva un control o restricción de los documentos físicos de cada área de la
empresa

● No se realiza de manera periódica, cambio o actualizaciones de contraseñas de los

programas utilizados.
● Los colaboradores pueden acceder a redes y correos personales

● No se realiza ni se lleva un control de las copias de seguridad

● No se tiene restricciones frente al ingreso al correo corporativo desde dispositivos

ajenos a la entidad

● Los mantenimientos y revisiones a los equipos de trabajo no son constantes

● Al momento de abrir o revisar archivos recibidos, no se realizan los respectivos análisis

de los mismos a través del antivirus.

● La gran mayoría de equipos de cómputo y demás equipos de trabajo, no cuentan con

UPS.

● No se cuenta con un control de acceso de cada usuario a páginas

4. Conclusión.

Después de realizada la auditoría en la empresa Sou, podemos determinar a través de la

información y de los datos recopilados, que la entidad presenta diferentes falencias y carece de
medidas o controles de los equipos, programas y procesos realizados. Por ello, se deben
implementar controles internos, además de estructurar nuevas políticas de procedimiento que
permitan salvaguardar la información y que esta pueda ser más íntegra y real así como mejorar
los procesos que en los programas se realizan evaluando de manera periódica cada área y
verificando que se están cumpliendo con lo establecido.
5. Recomendaciones

❏ Es necesario que la entidad implemente controles internos en cada una de las

áreas existentes frente al manejo y los procesos realizados en los programas de
la entidad, con el fin de generar seguridad e integridad a la información que allí
se encuentra.

❏ Generar controles y revisiones periódicas de las copias de seguridad de la

información contable.

❏ Implementar restricciones en cuanto al ingreso y manejo de redes, correos o

cuentas personales

❏ Generar medidas de seguridad y restricciones frente al servidor de la entidad al

igual que ubicarlo en una zona en la cual no sea fácil el acceso por parte de
personal no autorizado

❏ Realizar cambios y actualizaciones de contraseñas de los programas utilizados

de manera periódica
❏ Implementar restricciones en cuanto al manejo de correos corporativos en
dispositivos ajenos de la entidad

❏ Generar siempre un análisis a través del antivirus, de aquellos archivos o

trabajos a revisar

❏ Generar restricciones frente al acceso de personal no autorizado frente a los

archivos o documentos físicos